Better WP Security, el plugin definitivo para securizar WordPress

Publicado en por

Ya os hemos hablado de cómo proteger WordPress de ataques SQLi y de ataques de fuerza bruta. En esta ocasión os traemos un plugin Todo en Uno dedicado a proteger vuestra instalación de WordPress mediante una gran variedad de técnicas que ayudarán a evitar posibles intrusiones en nuestra Web, como pueden ser:

  • Cambiar la ruta de acceso al panel de administración.
  • Eliminar el meta tag para ocultar nuestra versión de WordPress.
  • Cambiar el prefijo de las tablas de nuestra base de datos.
  • Protección mediante ban de IP contra ataques de fuerza bruta.
  • Forzar el uso de SSL
  • Desactivar el acceso al panel de administración a determinadas horas.
  • Y un largo etc.

wpdefend

 

Nada más instalar el plugin nos aparecerá un nuevo menú llamado «Seguridad» y un primer aviso al abrirlo advirtiéndonos de realizar una Copia de Seguridad de la Base de Datos antes de modificar nada. Este punto es totalmente recomendable por no decir casi obligatorio, pues este plugin nos permitirá hacer algunos cambios importantes e irreversibles en la estructura de WordPress para aplicar determinadas técnicas.

BetterWPSecurity_1

Una vez dentro, veremos una gran cantidad de pestañas, cada una con una función y destinadas a proteger de una forma diferente nuestro WordPress.

Lo primero que nos propone Better WP Security es la denominada «Protección en un clic» mediante el cual, pulsando un botón, el propio plugin activará las funciones básicas de protección aunque no se activarán automáticamente aquellas funciones que puedan interferir en otros plugins, temas, o contenido de tu sitio, ni tampoco se modificarán los archivos .htaccess o wp-config.php.

Si eres un usuario inexperto y únicamente quieres una protección básica para tu WordPress, deja de leer, ya que a partir de aquí puedes poner en riesgo tu instalación si no estás seguro de lo que estás haciendo, y como ya he comentado arriba, algunos cambios son irreversibles.

En nuestro caso elegiremos la opción «No gracias, prefiero configurarlo todo yo». Una vez hecho esto, la primera ventana que nos aparecerá es el Estado del Sistema donde se indicará con un código de colores intuitivo que está bien configurado y qué podemos mejorar en nuestra instalación actual de WordPress. Además nos aparecerá un enlace para poder aplicar cada una de las mejoras.

BetterWPSecurity_2

Dentro de cada una de las pestañas nos encontraremos con las diferentes técnicas arriba mencionadas. No voy a describir el funcionamiento de cada una de las opciones ya que el post sería demasiado largo, así que mencionaré las que me han parecido más interesantes.

En primer lugar y más a tener en cuenta, es el cambio del usuario por defecto admin en el caso de que existiese, así como el ID asociado a la primera cuenta, de cara a un posible listado de usuarios por parte del atacante y evitar así un ataque de fuerza bruta a un usuario administrador. Esta opción se encuentra en la pestaña «Usuario».

Otra opción interesante es el denominado «modo ausente«, mediante el cual podemos deshabilitar la administración del sitio durante el periodo especificado para evitar así intentos de acceso cuando sabemos que no vamos a necesitar acceder al panel de administración.

BetterWPSecurity_3

La siguiente opción nos permitirá bloquear el acceso desde servidores y direcciones IP individuales o grupos, en base a una lista negra predefinida o listas que nosotros mismos agreguemos, así como direcciones IP individuales. Dicha opción se encuentra en la pestaña «Ban».

Una opción que no podía faltar es la creación de Backups (Copias de Seguridad) automáticos de la Base de Datos. También permite la opción de enviar la copia directamente al correo electrónico indicado en lugar de almacenarla en el servidor para prevenir el acceso indeseado a la información de ésta si el servidor es atacado.

En la octava pestaña encontramos otra de las opciones más interesantes, la función «ocultar administración», la cual modifica la URL desde la que accedes al panel de administración de WordPress, escondiendo tu sitio de posibles atacantes. Esta opción modifica el archivo .htaccess en caso de que tu servidor funcione bajo Apache.

BetterWPSecurity_4

Por último, en el menú «Tweaks» encontramos una gran cantidad de opciones que recomiendo leer detenidamente, las cuales están bien explicadas y muestran el posible riesgo o incompatibilidad que puedan causar.

Termino el artículo sin comentar todos los ajustes y opciones que permite Better WP Security, como por ejemplo, los límites de acceso, cambiar el prefijo de las tablas o la detección de intrusiones basado en la cantidad de errores que obtenga un usuario. Pero como he citado arriba, no puedo mencionarlas todas pues el artículo se alargaría bastante.

Espero que os haya sido de utilidad!

Artículo escrito por Gonzalo Toledano